Une opération de détournement de presse-papiers récemment découverte, baptisée « Bassjackers », utilise au moins 778 531 adresses de portefeuille de crypto-monnaie pour voler des actifs numériques sur des ordinateurs compromis.
Selon CyberArk, qui a découvert la campagne MassJacker, environ 423 portefeuilles liés à l’opération contenaient 95 300 $au moment de l’analyse, mais les données historiques suggèrent des transactions plus importantes.
En outre, il existe un seul portefeuille Solana que les acteurs de la menace semblent utiliser comme plaque tournante centrale de réception d’argent, qui a amassé plus de 300 000 transactions de transactions jusqu’à présent.
CyberArk soupçonne que l’ensemble de l’opération de piratage de masse est associé à un groupe de menaces spécifique, car les noms de fichiers téléchargés à partir des serveurs de commande et de contrôle et les clés de chiffrement utilisées pour déchiffrer les fichiers étaient les mêmes tout au long de la campagne.
Cependant, l’opération pourrait toujours suivre un modèle de logiciel malveillant en tant que service, dans lequel un administrateur central vend l’accès à divers cybercriminels.
CyberArk appelle MassJacker une opération de cryptojacking, bien que ce terme soit plus souvent associé à une extraction de crypto-monnaie non autorisée exploitant les ressources de traitement/matérielles de la victime.
En réalité, MassJacker s’appuie sur des logiciels malveillants de détournement de presse-papiers( clippers), qui sont un type de logiciel malveillant qui surveille le presse-papiers Windows à la recherche d’adresses de portefeuille de crypto-monnaie copiées et les remplace par une sous le contrôle de l’attaquant.
Ce faisant, les victimes envoient inconsciemment de l’argent aux attaquants, bien qu’elles aient l’intention de l’envoyer à quelqu’un d’autre.
Les tondeuses sont des outils simples mais très efficaces qui sont particulièrement difficiles à détecter en raison de leurs fonctionnalités limitées et de leur portée opérationnelle.
Détails techniques
MassJacker est distribué via pesktop[.] com, un site qui héberge des logiciels piratés et des logiciels malveillants.
Les programmes d’installation de logiciels téléchargés à partir de ce site exécutent un script cmd qui déclenche un script PowerShell, qui récupère un bot Amadey et deux fichiers de chargement (PackerE et PackerD1).
Amadey lance PackerE, qui, à son tour, déchiffre et charge PackerD1 en mémoire.
PackerD1 comprend cinq ressources intégrées qui améliorent ses performances d’évasion et d’anti-analyse, notamment l’accrochage juste à temps( JIT), le mappage de jetons de métadonnées pour masquer les appels de fonction et une machine virtuelle personnalisée pour l’interprétation des commandes au lieu d’exécuter du code.NET standard.
PackerD1 déchiffre et injecte PackerD2, qui décompresse et extrait finalement la charge utile finale, MassJacker,et l’injecte dans l’Installutil légitime du processus Windows.exé.’
Bassjackers surveille le presse-papiers pour les adresses de portefeuille de crypto-monnaie à l’aide de modèles d’expressions régulières, et si une correspondance est trouvée, il la remplace par une adresse de portefeuille contrôlée par un attaquant à partir d’une liste cryptée.
CyberArk appelle la communauté des chercheurs en cybersécurité à examiner de plus près les grandes opérations de cryptojacking comme MassJacker, car malgré les faibles dommages financiers perçus, elles pourraient révéler des informations d’identification précieuses sur de nombreux acteurs de la menace.